Die DS-GVO ist da

Am 25.05.2018 war es endlich so weit: die neue Datenschutz-Grundverordnung ist wirksam geworden und gilt nun flächendeckend in allen Mitgliedstaaten der EU. Selbst diejenigen, die sich mit dem Thema nicht beschäftigt haben oder auch nicht beschäftigen wollten, werden die unzähligen E-Mails in ihrem Postfach bemerkt haben. Darunter befanden sich z.B. Informationen zur „Änderung der Datenschutzbestimmungen“, zur „Verbesserung des Datenschutzes“ oder auch zur „Bestätigung Ihrer Einwilligung aufgrund des neuen Datenschutzrechts“. Viele dieser E-Mails enthielten die Pflichtinformationen des neuen Art. 13 DS-GVO und zeigen, dass sich einige Unternehmen tatsächlich Gedanken gemacht haben. Teilweise wurde die neue Verordnung aber auch dazu genutzt, bis dato rechtswidrige Zustände zu beseitigen und z.B. Werbeeinwilligungen einzuholen. Diese Verfahrensweise ist durchaus fragwürdig.

Was ist wirklich neu?

Die Verordnung hat bei vielen Beteiligten für Verunsicherung gesorgt – sowohl bei den Betroffenen als auch bei den Unternehmen. Aufgrund der Flut an Informationen in den Medien ist es teilweise schwierig, die tatsächlichen Anforderungen von der stattfindenden „Panikmache“ abzugrenzen. Daher soll an dieser Stelle noch einmal kurz zusammengefasst werden, was die Datenschutz-Grundverordnung eigentlich an Veränderungen mit sich gebracht hat:

  • Erhöhte Bußgelder
  • Pflichten für Auftragsverarbeiter
  • Risikobasierter Ansatz
  • Verschärfte Informationspflichten bei Datenerhebung
  • Rechenschaftspflicht
  • Aufhebung der grundsätzlichen Schriftform bei der Einwilligung
  • Umfangreichere Belehrungspflichten bei der Einholung einer Einwilligung

Wirklich neu sind die Anforderungen der Verordnung nicht. Bereits das alte Bundesdatenschutzgesetz sah vor, dass Verantwortliche ihre Datenverarbeitung in Verfahrensverzeichnissen dokumentieren, Verträge zur Auftragsverarbeitung abschließen und angemessene technisch-organisatorische Maßnahmen treffen müssen.

Wettbewerbsrecht bleibt unverändert

Auch im Bereich der Einwilligung hat sich eigentlich nicht viel getan. Relevant ist hier neben den datenschutzrechtlichen Vorgaben vor allem das Wettbewerbsrecht, welches die Nutzung bestimmter Werbekanäle von einer Einwilligung abhängig macht. Vor allem die E-Mail-Werbung ist hiervon betroffen, da § 7 UWG hierfür eine ausdrückliche Einwilligung voraussetzt – wenn diese nicht vorliegt, wird E-Mail-Werbung als unzumutbare Belästigung eingestuft und stellt eine Rechtsverletzung dar. Es gibt zwar auch eine Ausnahme, diese greift jedoch nie bei allgemeinen Newslettern.

In der Flut der Nachrichten fand sich auch vielfach die Aufforderung, eine Einwilligung in die Verarbeitung der eigenen personenbezogenen Daten zum Zwecke der Vertragsabwicklung zu erklären. Wer eine solche Aufforderung verschickt, hat sowohl das alte Bundesdatenschutzgesetz als auch die neue Datenschutz-Grundverordnung nicht aufmerksam gelesen. Die Datenverarbeitung zum Zwecke der Vertragsabwicklung ist erlaubt – und zwar auch ohne ausdrückliche Einwilligung des Betroffenen. Das ergibt sich aus Art. 6 Abs. 1 b) DS-GVO und war so auch schon in § 28 Abs. 1 Nr. 1 BDSG verankert. Trotzdem holen sich viele Unternehmen jetzt „sicherheitshalber“ eine Einwilligung für jeden Datenverarbeitungsvorgang ein. Dieses Vorgehen ist durchaus problematisch wenn man sich vor Augen hält, dass den Betroffenen ein Wahlrecht suggeriert wird, welches gar nicht vorhanden ist.

Datenschutz braucht Zeit

Die vielen zum Teil falschen Informationen haben sicherlich mit der Verunsicherung und den neuen hohen Bußgeldern zu tun. Trotzdem sollten Unternehmen sich nicht dazu hinreißen lassen, nicht durchdachte Maßnahmen zu ergreifen und z.B. nicht ausgereifte Kundeninformationen zu versenden. Komplexe Fragestellungen lassen sich nicht innerhalb weniger Stunden beantworten und eine fehlende Pflichtdokumentation kann nicht innerhalb von einigen Tagen aufgebaut werden. Unsere Kanzlei unterstützt Sie gerne bei diesem andauernden Prozess.